第11章 恶意代码检测与防范技术 11 11.1 常见的恶意代码 恶意代码机理 11.2 恶意代码分析 11.3 恶意代码预防 11.4.

Slides:



Advertisements
Similar presentations
学年度工作总结 —— 上海建桥学院 —— 上海建桥学院 实验室与资产管理处 实验室与资产管理处.
Advertisements

汕头大学医学院 学年学分制学籍管理办法 科教处 - 学籍教材科 郑少燕 2006 - 9 总 则 ♠ 在本校学习的学生,应当政治思想高;应当爱国 勤劳、自强不息,应当遵纪守法,应当刻苦学习, 勇于探索,积极实践,努力掌握现代科学文化知 识和专业技能,应当积极锻炼身体,具有健康体 魄。
第七章 整體安全與存取控制設計. 本章大綱  第一節 電腦犯罪與網路駭客  第二節 整體安全預防控制  第三節 運用資訊科技反制  第四節 安全失控之復原控制.
欢迎各位 Nice to Meet U.
第12章 部署图.
第六章 交际礼仪 学习目标 案例导入 主要内容 互动训练 思考练习.
性別平等教育實施成效 之 檢視與評鑑 主講人: 廖芳娟
授課者:陳月端 法律倫理 授課者:陳月端
三普聯合會計師事務所 講師:莊汧驊 會計師 : 中華民國103年03月10日
绿 色 植 物 在 家 庭 居 室 空 气 污 染 控 制 中 的 作 用 小组成员:.
2015年重点税源企业 报表填报流程培训会 海淀地税局 收入核算科.
大学计算机基础 主讲:张建国 电话: 实验及交作业网址:
学 校 名 称: 乐山师范学院 课 程 名 称: 声 乐 学 课程层次 (本/专): 本 科 所属一级学科名称: 文 学
“云时代,云渲染” 合肥城市云渲染平台 2015年5月10日
病毒及防范.
公文製作與品質 彰化縣政府秘書 劉玉平 中 華 民 國 104 年 7 月 31 日 .
應用文寫作規範 書信 便條 摘要 心得報告.
福建省毕业生就业公共网 注册流程 就业中心 二O一二年九月.
初念淺~轉念深 網路~小品一則~分享.
資訊安全與防毒 Chapter 認識資訊安全 14-2 網路帶來的安全威脅 14-3 電腦病毒/特洛依木馬/網路蠕蟲
支援報備之重要性.
湖南省怀化市中小学信息技术 学科考试系统培训交流
智慧財產權及 電腦病毒與防護課程 上課日期:98年7月1日 主 講 人:劉孟智 技士.
第三讲: 如何获取和处理就业信息.
企業設置哺(集)乳室與托兒服務觀摩座談及補助說明會
项目七 病毒与网络安全 7.1 计算机病毒简介 7.2 计算机病毒防治 7.3 计算机病毒处理 7.4 我国互联网安全问题现状及未来发展.
项目3 病毒的防治与查杀 项目1 双机互连对等网络的组建.
逻 辑 学 主讲:李贤军.
國立花蓮高級工業職業學校 圖書館簡介 歡迎各位蒞臨.
健康上网 初一3班 王诗婷.
课程改革呼唤科学教育 常州市教育局教研室 蔡正秋.
第一章 疾病概论.
「一領一‧新倍加」 門徒培育教材 一領一友誼傳道 (領人系列 12).
网瘾的危害.
我的学校——达县职高 制作人——高一计算机应用二班王天.
目标成就未来.
從無薪假談勞動契約條件之變更 主講人:建業法律事務所 李育錚律師.
主讲教师:唐大仕 第12讲 计算机病毒的防治 主讲教师:唐大仕
明道大學 教師扣考系統 操作說明.
会计与财务学院 2010届毕业实习与毕业论文 学生应知注意事项.
预防老年痴呆的15个 生活习慣   背景音乐:红楼箫曲─秋窗风雨夕 文 字 资 料 来 自 网 络.
國立臺灣海洋大學 【教務處】 簡報者:李國誥 教授兼教務長 中華民國98年9月23日.
房地产企业(项目)银行融资 授信工作指引 2007年版.
刘 汉 德 广东省糖业协会 广东中轻糖业集团有限公司
備審資料準備 黃思倫 教授 逢甲大學資訊電機學院 院長
如何準備實習的履歷與自傳 吳秀照
民法总论 丘志乔 民法学习网: 民法学习网:
澄清误区 探求共识 高冀生 海峡两岸大学图书馆建筑学术研讨会 高校图书馆建设理念再认识 中国图书馆学会 建筑专业委员会委员
于 雷 教育部高等职业院校人才培养工作评估研究课题组成员 沈阳工程学院教授
东北师大理想信息技术研究院 院长 中国教育软件协会 副主任 英国计算机与自动化学会 顾问
管理系统使用注意事项 1.每个事业单位只有一张唯一的专用光盘。但为防止事业单位专用光盘损坏,可以自行刻录一张新的光盘作为备份。用于网上登记的计算机必须有光驱才行、计算机必须是xp或更好版本的的操作系统,浏览器必须是IE6.0版本以上。 2.事业单位专用光盘中“网下填表与上网提交”功能未开通,待开通后再告知大家。
读书报告要求 每人写一篇读书报告。 要求,对学习这门课程之后形成的对计算机科学的一个总的、一般的认识,但不要泛泛而论。
企业网搭建及应用 重庆市永川职业教育中心
中国产业分析平台介绍 总体介绍 平台特点 主要内容 基本功能 安装方法 疑问解答 服务方式.
Windows 2000 Server Certificate Authority架設
第十三章 電腦病毒(Computer Virus)
12-1 惡意程式的問題 12-2 駭客入侵的問題 12-3 線上交易安全的問題
電腦基礎與網際網路 資訊安全 防範電腦病毒.
操作資料庫 教授:楊維邦 教授 助教:黃存賢 陳廷宣.
网络学习环境的构建 柯清超 华南师范大学教育信息技术学院
U861院校专用版的安装流程 安装IIS中的WWW服务 安装SQL数据库 安装SQL SP4补丁 安装U861院校专用版.
第5章 電腦網路與應用 5-1 認識數據通訊 5-2 認識電腦網路 5-3 認識網際網路 5-4 實用的網際網路 5-5 資訊安全與保護
地點:班上,下課時間 子龍下課在班上到處閒逛,聽聽那兒有新鮮事,看到一群人圍著漢升驚呼聲四起。 漢升: 看! 這是我新買的滑蓋手機,不錯吧!還有MP3可以聽喔! 大家:哇!你老媽買給你的喔?那麼好喔? 漢升:那有那麼好,我是自己去“奇麼”拍賣上買的,很便宜的啦! 子龍在一群人間把玩手機,仔細聽著來龍去脈。
3-1 天災與人為疏失的問題 3-2 散播惡意軟體的問題 3-3 駭客入侵的問題
Empower for MircoSoft ISV
研習目標: 提昇病毒防禦及解毒的基本能力 有效降低電腦病毒所造成的影響
台大計資中心 李美雯 網路安全與管理 台大計資中心 李美雯 /4/6 臺灣大學計資中心網路組.
第1章 网络操作系统概述.
计算机组装、维修及 实训教程 第17章 微机软件的安装与设置 2019年4月11日星期四.
校務系統與校園網路資源簡介 主講人:電算中心 林哲正.
Presentation transcript:

第11章 恶意代码检测与防范技术 11 11.1 常见的恶意代码 恶意代码机理 11.2 恶意代码分析 11.3 恶意代码预防 11.4

11.1 常见的恶意代码 1. 恶意代码概述 代码是指计算机程序代码,可以被执行完成特定功能。任何事物都有正反两面,人类发明的所有工具既可造福也可作孽,这完全取决于使用工具的人。 计算机程序也不例外,软件工程师们编写了大量的有用软件(如操作系统、应用系统和数据库系统等)的同时,黑客们在编写扰乱社会和他人的计算机程序,这些代码统称为恶意代码(Malicious Codes)。 90 年代末,恶意代码的定义随着计算机网络技术的发展逐渐丰富,Grimes 将恶意代码定义为,经过存储介质和网络进行传播,从一台计算机系统到另外一台计算机系统,未经授权认证破坏计算机系统完整性的程序或代码。

11.1 常见的恶意代码 2. 研究恶意代码的必要性 在Internet安全事件中,恶意代码造成的经济损失占有最大的比例。恶意代码主要包括计算机病毒(Virus)、蠕虫(Worm)、木马程序(Trojan Horse)、后门程序(Backdoor)、逻辑炸弹(Logic Bomb)等。与此同时,恶意代码成为信息战、网络战的重要手段。日益严重的恶意代码问题,不仅使企业及用户蒙受了巨大经济损失,而且使国家的安全面临着严重威胁。 恶意代码攻击成为信息战、网络战最重要的入侵手段之一。一个典型的例子是在电影《独立日》中,美国空军对外星飞船进行核轰炸没有效果,最后给敌人飞船系统注入恶意代码,使敌人飞船的保护层失效,从而拯救了地球,从中可以看出恶意代码研究的重要性。 恶意代码问题已成为信息安全需要解决的、迫在眉睫的、刻不容缓的问题。

11.1 常见的恶意代码 3. 恶意代码的发展史 恶意代码经过20多年的发展,破坏性、种类和感染性都得到了增强,对人们日常生活影响越来越大。 11.1 常见的恶意代码 3. 恶意代码的发展史 恶意代码经过20多年的发展,破坏性、种类和感染性都得到了增强,对人们日常生活影响越来越大。 1988 年11月,Morris顷刻之间使得6000多台计算机(占当时Internet上计算机总数的10%多)瘫痪,造成严重的后果,并因此引起世界范围内关注。 1998 年CIH病毒造成数十万台计算机受到破坏。1999 年,Happy 99、Melissa 病毒爆发,Melissa 病毒通过E-mail 附件快速传播而使E-mail服务器和网络负载过重,它还将敏感的文档在用户不知情的情况下按地址簿中的地址发出。 2000年, “爱虫”病毒及其后出现的50 多个变种病毒,仅一年时间共感染了4000 多万台计算机,造成大约86 亿美元的经济损失。

11.1 常见的恶意代码 2001年,国信安办与公安部共同主办了我国首次计算机病毒疫情网上调查工作。结果感染过计算机病毒的用户高达63%,其中感染三次以上的用户占59%多,网络安全存在大量隐患。 2001年8月,“红色代码”蠕虫利用微软Web 服务器IIS4.0或5.0 中Index服务的安全漏洞,攻破目标机器,并通过自动扫描方式传播蠕虫,在互联网上大规模泛滥。 2003年,SLammer蠕虫在10 分钟内导致互联网90%脆弱主机受到感染。同年8月,“冲击波”蠕虫爆发,8天内导致全球电脑用户损失高达20亿美元之多。 2004年到2006年,振荡波蠕虫、爱情后门、波特后门等恶意代码利用电子邮件和系统漏洞对网络主机进行疯狂传播,给国家和社会造成了巨大的经济损失。请见图11.1。

11.1 常见的恶意代码 图11.1 恶意代码的发展图示

11.1 常见的恶意代码 4. 恶意代码的主要特征(从80 年代发展至今) 1)恶意代码日趋复杂和完善 11.1 常见的恶意代码 4. 恶意代码的主要特征(从80 年代发展至今) 1)恶意代码日趋复杂和完善 从非常简单的,感染游戏的Apple II 病毒发展到复杂的操作系统内核病毒和今天主动式传播和破坏性极强的蠕虫。恶意代码在快速传播机制和生存性技术研究取得了很大的成功。 2)恶意代码编制方法及发布速度更快 恶意代码刚出现时发展较慢,但是随着网络飞速发展,Internet 成为恶意代码发布并快速蔓延的平台。特别是过去5 年,不断涌现的恶意代码,证实了这一点。 3)从病毒到电子邮件蠕虫,再到利用系统漏洞主动攻击的恶意代码 恶意代码的早期,大多数攻击行为是由病毒和受感染的可执行文件引起的。然而,在过去5 年,利用系统和网络的脆弱性进行传播和感染开创了恶意代码的新纪元。

11.1 常见的恶意代码 5. 恶意代码长期存在的原因 (1)计算机技术飞速发展的同时并未使系统的安全性得到增强。计算机技术进步带来的安全增强能力最多只能弥补由应用环境的复杂性带来的安全威胁的增长程度。不但如此,计算机新技术的出现还很有可能使计算机系统的安全变得比以往更加脆弱。 (2)恶意代码的一个主要特征是其针对性(针对特定的脆弱点),这种针对性充分说明了恶意代码正是利用软件的脆弱性实现其恶意目的的。造成广泛影响的1988年Morris蠕虫事件,就是利用邮件系统的脆弱性作为其入侵的最初突破点的。

11.2 恶意代码机理 1. 恶意代码的相关定义 恶意代码类型 定义 特点 计算机病毒 指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。 潜伏、传染和 破坏 计算机蠕虫 指通过计算机网络自我复制,消耗系统资源和网络资源的程序 扫描、攻击和扩散 特洛伊木马 指一种与远程计算机建立连接,使远程计算机能够通过网络控制本地计算机的程序。 欺骗、隐蔽和信息窃取 逻辑炸弹 指一段嵌入计算机系统程序的,通过特殊的数据或时间作为条件触发,试图完成一定破坏功能的程序。 潜伏和破坏 病菌 指不依赖于系统软件,能够自我复制和传播,以消耗系统资源为目的的程序。 传染和拒绝服务 用户级RootKit 指通过替代或者修改被系统管理员或普通用户执行的程序进入系统,从而实现隐藏和创建后门的程序。 隐蔽,潜伏 核心级RootKit 指嵌入操作系统内核进行隐藏和创建后门的程序

11.2 恶意代码机理 2. 恶意代码攻击机制 恶意代码的基本作用机制的整个作用过程分为以下6个部分。 ① 侵入系统。侵入系统是恶意代码实现其恶意目的的必要条件。恶意代码入侵的途径很多,比如,从互联网下载的程序本身就可能含有恶意代码;接收已感染恶意代码的电子邮件;从光盘或软盘往系统上安装软件;黑客或攻击者故意将恶意代码植入系统等。 ② 维持或提升现有特权。恶意代码的传播与破坏必须盗用用户或者进程的合法权限才能完成。 ③ 隐蔽策略。为了不让系统发现恶意代码已经侵入系统,恶意代码可能会改名、删除源文件或修改系统安全策略来隐藏自己。 ④ 潜伏。恶意代码侵入系统后,等待一定的条件,并具有足够的权限时,就发作并进行破坏活动。 ⑤破坏。恶意代码的本质具有破坏性,其目的是造成信息丢失、泄密,破坏系统完整性等。 ⑥ 重复①至⑤对新的目标实施攻击过程。

11.2 恶意代码机理 3. 恶意代码攻击模型

11.3 恶意代码分析 1. 恶意代码分析方法 1)静态分析方法 在不运行恶意代码的情况下,利用分析工具对恶意代码的静态特征和功能模块进行分析的方法。 — 基于代码特征的分析方法 分析过程中,不考虑恶意代码的指令意义,而是分析指令的统计特性、代码的结构特性等。 — 基于代码语义的分析方法 要求考虑构成恶意代码的指令含义,通过理解指令语义建立恶意代码的流程图和功能框图,进一步分析恶意代码的功能结构。

11.3 恶意代码分析 2)动态分析方法 通过监视恶意代码运行过程从而了解恶意代码功能。 — 外部观察法 利用系统监视工具观察恶意代码运行过程中系统环境的变化,通过分析这些变化判断恶意代码的功能。 — 跟踪调试法 通过跟踪恶意代码执行过程使用的系统函数和指令特征分析恶意代码功能的技术。

11.4 恶意代码预防 请见图11.3。 恶意代码防范方法 1)基于主机的恶意代码防范方法 — 基于特征的扫描技术 基于主机的恶意代码防范方法是目前检测恶意代码最常用的技术,主要源于模式匹配的思想。扫描程序工作之前,必须先建立恶意代码的特征文件,根据特征文件中的特征串,在扫描文件中进行匹配查找。用户通过更新特征文件更新扫描软件,查找最新的恶意代码版本。这种技术广泛地应用于目前的反病毒引擎中 。 请见图11.3。

11.4 恶意代码预防 图11.3 基于特征的扫描技术图示

11.4 恶意代码预防 — 校验和 校验和是一种保护信息资源完整性的控制技术,例如Hash值和循环冗余码等。只要文件内部有一个比特发生了变化,校验和值就会改变。未被恶意代码感染的系统首先会生成检测数据,然后周期性地使用校验和法检测文件的改变情况。 在恶意代码检测软件中设置校验和法。对检测的对象文件计算其正常状态的校验和并将其写入被查文件中或检测工具中,而后进行比较。 在应用程序中嵌入校验和法。将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原始校验和,实现应用程序的自我检测功能。 将校验和程序常驻内存。每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预留保存的校验和。

11.4 恶意代码预防 — 沙箱技术 沙箱技术是指根据系统中每一个可执行程序的访问资源,以及系统赋予的权限建立应用程序的“沙箱”,限制恶意代码的运行。 美国加州大学Berkeley 实验室开发了基于Solaris 操作系统的沙箱系统,应用程序经过系统底层调用解释执行,系统自动判断应用程序调用的底层函数是否符合系统的安全要求,并决定是否执行。 Windows XP /2003操作系统提供了一种软件限制策略,隔离具有潜在危害的代码。这种隔离技术其实也是一种沙箱技术,可以保护系统免受通过电子邮件和Internet传染的各种恶意代码的侵害。

11.4 恶意代码预防 — 安全操作系统对恶意代码的防范 恶意代码成功入侵的重要一环是,获得系统的控制权,使操作系统为它分配系统资源。无论哪种恶意代码,无论要达到何种恶意目的,都必须具有相应的权限。没有足够的权限,恶意代码不可能实现其预定的恶意目标,或者仅能够实现其部分恶意目标。

11.4 恶意代码预防 2)基于网络的恶意代码防范方法 — 基于GRIDS的恶意代码检测 它通过建立和分析节点间的行为图(Activity Graph),通过与预定义的行为模式图进行匹配,检测恶意代码是否存在,是当前检测分布式恶意代码入侵的有效工具。

11.4 恶意代码预防 —基于PLD硬件的检测防御 可编程逻辑设备(PLD,Programmable Logic Devices)对抗恶意代码的防范系统由三个相互内联部件DED(Data Enabling Device)、 CMS(Content Matching Server)和RTP(Regional Transaction Processor)组成。 DED负责捕获流经网络出入口的所有数据包,根据CMS提供的特征串或规则表达式对数据包进行扫描匹配并把结果传递给RTP;CMS负责从后台的MYSQL数据库中读取已经存在的恶意代码特征,编译综合成DED设备可以利用特征串或规则表达式;RTP根据匹配结果决定DED采取何种操作。恶意代码大规模入侵时,系统管理员首先把该恶意代码的特征添加到CMS的特征数据库中,DED扫描到相应特征才会请求RTP做出放行还是阻断等响应。

11.4 恶意代码预防 — 基于HoneyPot的检测防御 早期HoneyPot主要用于防范网络黑客攻击。ReVirt是能够检测网络攻击或网络异常行为的HoneyPot系统。 Spitzner首次运用HoneyPot防御恶意代码攻击。HoneyPot之间可以相互共享捕获的数据信息,采用NIDS的规则生成器产生恶意代码的匹配规则,当恶意代码根据一定的扫描策略扫描存在漏洞主机的地址空间时,HoneyPots可以捕获恶意代码扫描攻击的数据,然后采用特征匹配来判断是否有恶意代码攻击。

11.4 恶意代码预防 — 基于CCDC的检测防御 由于主动式传播恶意代码具有生物病毒特征,美国安全专家提议建立CCDC(The Cyber Centers for Disease Control)来对抗恶意代码攻击。 CCDC体系实现的功能:①鉴别恶意代码的爆发期;②恶意代码样本特征分析;③恶意代码传染对抗;④恶意代码新的传染途径预测;⑤前摄性恶意代码对抗工具研究;⑥对抗未来恶意代码的威胁。CCDC 能够实现对大规模恶意代码入侵的预警、防御和阻断。 CCDC存在的问题:①CCDC是一个规模庞大的防范体系,要考虑体系运转的代价;②由于CCDC体系的开放性,CCDC自身的安全问题不容忽视;③在CCDC 防范体系中,攻击者能够监测恶意代码攻击的全过程,深入理解CCDC防范恶意代码的工作机制,因此可能导致突破CCDC 防范体系的恶意代码出现。

谢谢大家!